이 버전의 GitHub Enterprise Server는 다음 날짜에 중단됩니다. 2026-04-09. 중요한 보안 문제에 대해서도 패치 릴리스가 이루어지지 않습니다. 더 뛰어난 성능, 향상된 보안, 새로운 기능을 위해 최신 버전의 GitHub Enterprise Server로 업그레이드합니다. 업그레이드에 대한 도움말은 GitHub Enterprise 지원에 문의하세요.

Dependabot 경고 정보

          Dependabot alerts 보안 위험이 되기 전에 취약한 종속성을 찾고 해결하는 데 도움이 됩니다.

누가 이 기능을 사용할 수 있나요?

Dependabot alerts는 조직 소유 및 사용자 소유 저장소에서 지원됩니다.

이 기사에서

소프트웨어는 종종 다양한 원본의 패키지에 의존하여 무의식적으로 보안 취약성을 발생시키는 종속성 관계를 만듭니다. 코드가 알려진 보안 취약성이 있는 패키지에 의존하는 경우 시스템을 악용하려는 공격자의 대상이 되어 코드, 데이터, 고객 또는 기여자에게 액세스할 수 있습니다. Dependabot alerts 보안 버전으로 업그레이드하고 프로젝트를 보호할 수 있도록 취약한 종속성에 대해 알려 줍니다.

          Dependabot가 경고를 보낼 때

          Dependabot 는 리포지토리의 기본 분기를 검색하고 다음과 같은 경우 경고를 보냅니다.
  • 새로운 권고 데이터는 매 시간마다 GitHub 에서 GitHub.com로 동기화됩니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 탐색을(를) 참조하세요.
  • 종속성 그래프가 변경됩니다(예: 패키지 또는 버전을 업데이트하는 커밋을 푸시하는 경우).

지원되는 에코시스템은 종속성 그래프에서 지원되는 패키지 에코시스템을 참조하세요.

경고 이해

취약한 종속성을 GitHub 검색하면 Dependabot 리포지토리의 보안 탭 및 종속성 그래프에 경고가 표시됩니다. 각 경고에는 다음이 포함됩니다.

  • 영향을 받는 파일에 대한 링크
  • 취약성 및 심각도에 대한 세부 정보
  • 고정 버전에 대한 정보(사용 가능한 경우)

경고 보기 및 관리에 대한 자세한 내용은 Dependabot 경고 보기 및 업데이트을 참조하세요.

누가 경고를 사용하도록 설정할 수 있나요?

리포지토리 관리자 및 조직 소유자는 Dependabot alerts을(를) 리포지토리에 대해 활성화할 수 있습니다. 사용하도록 설정 GitHub 하면 즉시 종속성 그래프를 생성하고 식별되는 취약한 종속성에 대한 경고를 만듭니다.

이 기능을 사용하려면 먼저 엔터프라이즈 소유자가 GitHub Enterprise Server 인스턴스에 대한 Dependabot alerts를 활성화해야 합니다. 자세한 내용은 엔터프라이즈에 Dependabot 사용을(를) 참조하세요.

          [AUTOTITLE](/code-security/dependabot/dependabot-alerts/configuring-dependabot-alerts)을(를) 참조하세요.

경고 알림 작동 방식

기본적으로 GitHub 다음과 같은 사용자에게 새 경고에 대한 이메일 알림을 보냅니다.

  • 리포지토리에 대한 쓰기, 유지 관리 또는 관리자 권한 사용
  • 리포지토리를 감시하고 보안 경고 또는 리포지토리의 모든 활동에 대한 알림을 사용하도록 설정했습니다.

알림 기본 설정에 관계없이 처음 사용하도록 설정된 Dependabot 경우 GitHub 리포지토리에 있는 모든 취약한 종속성에 대한 알림을 보내지 않습니다. 대신 알림 기본 설정에서 허용하는 경우 활성화된 후 Dependabot 식별된 새로운 취약한 종속성에 대한 알림을 받게 됩니다.

너무 많은 알림을 받는 것이 우려되는 경우 위험 수준이 낮은 경고를 자동으로 해제하는 것이 좋습니다 Dependabot 자동 심사 규칙 . 규칙은 경고 알림이 전송되기 전에 적용되므로 생성 시 자동으로 해제되는 경고는 알림을 보내지 않습니다. Dependabot 자동 분류 규칙에 대한 설명을(를) 참조하세요.

또는 주간 전자 메일 다이제스트를 옵트인하거나 활성화된 상태로 유지하면서 Dependabot alerts 알림을 완전히 끌 수도 있습니다.

제한점

          Dependabot alerts 몇 가지 제한 사항이 있습니다.

  • 경고는 모든 보안 문제를 감지할 수 없습니다. 정확한 검색을 위해 항상 종속성을 검토하고 매니페스트 및 잠금 파일을 최신 상태로 유지합니다.

  • 새 취약성은 GitHub Advisory Database에 나타나고 경고를 트리거하는 데 시간이 걸릴 수 있습니다.

  • 리뷰를 완료한 GitHub 권고만이 경고를 발령합니다.

  •         Dependabot 는 보관된 리포지토리를 검사하지 않습니다.

  •         Dependabot 는 맬웨어에 대한 경고를 생성하지 않습니다.

  • GitHub Actions의 경우 SHA 버전 관리가 아닌 의미 체계 버전 관리 작업을 사용하는 작업에 대해서만 경고가 생성됩니다.

추가 읽기

  •         [AUTOTITLE](/code-security/dependabot/dependabot-alerts/viewing-and-updating-dependabot-alerts)

  •         [AUTOTITLE](/code-security/dependabot/dependabot-security-updates/about-dependabot-security-updates)

  •         [AUTOTITLE](/code-security/getting-started/auditing-security-alerts)